Quelques cyberattaques marquantes
Introduction
Il n’est pas forcément facile de parler de cyberattaques tant ceux qui les vivent n’ont pas envie de les porter sur la place publique ou plus simplement, n’ont pas envie de revivre le traumatisme qu’ils ont vécu.
Car oui, c’est un vrai traumatisme que de ne plus pouvoir utiliser l’informatique extensivement pour réaliser les tâches que l’on a à remplir, qu’elles soient d’ordre privé ou professionnel.
Avant même de parler d’enjeux financiers, il suffit pour s’en convaincre d’interroger les professionnels de santé qui ont vécu une cyberattaque (comme pour les hôpitaux de Pau, Villefranche-sur-Saône, Rouen et bien d’autres…) pour comprendre le chaos dans lequel ils ont été plongés.
Votre informatique ne répond plus, vos repères sont effacés…
Quelle est la bonne posologie pour ce patient en cancérologie ?
Quelle est la durée du traitement ?
Quel examen est prévu quel jour ?
Le terme de « chaos » n’est pas un superlatif quand on tente de reprendre une gestion au papier et au crayon, et ce pendant de longues journées voire des semaines dans la plupart des cas.
Les informations que nous possédons sont souvent parcellaires sachant que les malfaiteurs avancent toujours à visages...
Stuxnet
Premier exemple y compris en termes chronologiques : l’apparition de Stuxnet est datée de 2010.
Photo de Luis Villasmil sur Unsplash
C’est un ver informatique qui a touché 45 000 ordinateurs, dont les deux tiers en Iran, en particulier au niveau du programme nucléaire iranien, Stuxnet s’étant attaqué aux automates programmables industriels qui contrôlaient électriquement les centrifugeuses d’enrichissement d’uranium, fournies par l’allemand Siemens.
Stuxnet est original à plus d’un titre :
Fait nouveau, on peut dire qu’il a été utilisé comme une véritable arme pour ralentir les progrès des Iraniens en matière de programme nucléaire et pas seulement pour extorquer des fonds ou bloquer l’accès à des données.
On accorde sa paternité à une nation au travers de la NSA pour le compte des États-Unis, lesquels auraient été aidés par les services israéliens, dont la fameuse Unité 8200.
L’opération est connue sous le nom Operation Olympic Games ou Opération Jeux Olympiques.
Phénomène nouveau à l’époque, c’est un ver qui a agi sur des systèmes industriels, capable non seulement de les perturber mais aussi de les reprogrammer.
Il a consisté...
Wannacry
Daté de 2017, l’origine de Wannacry serait nord-coréenne ou peut-être chinoise, sans que l’on puisse le dire avec une absolue certitude.
Selon ce que l’on sait, il est parti d’Espagne et exploitait une faille de Windows XP.
Si on peut dire sans risque de se tromper que Stuxnet était ciblé sur un objectif bien défini, le mécanisme de fonctionnement de Wannacry lui, cherchait à « arroser » le plus possible la communauté des internautes.
Wannacry est un rançongiciel dont le but était d’infecter le plus grand nombre possible d’ordinateurs.
On évalue à plus de 300 000 le nombre d’ordinateurs qui ont été touchés par Wannacry.
Pour vous donner une idée de sa vitesse de propagation, on estime à 100 000 le nombre d’ordinateurs touché dans les premières 24 heures.
Une fois entré dans l’ordinateur cible, Wannacry chiffrait les données et demandait une rançon pour les récupérer.
Les rançons demandées (payables en bitcoin) étaient de l’ordre de quelques centaines d’euros par ordinateur, augmentant ainsi la probabilité de paiement par les internautes, prêts à payer 300 € pour pouvoir récupérer leurs données.
Des organisations...
SolarWinds
SolarWinds, du nom de la société texane éditrice d’Orion est une plateforme de surveillance et de gestion d’infrastructure conçue pour simplifier l’administration des environnements informatiques. Plusieurs dizaines de milliers de clients dans le monde.
Désormais, le nom SolarWinds est improprement voire injustement associé à ce qui est sans doute la plus importante cyberattaque ayant frappé le gouvernement américain.
Il s’agit d’une attaque a priori mondiale, mais qui a spécifiquement touché le gouvernement américain, certaines de ses agences et aussi de nombreuses organisations privées.
Les Échos titraient le 17 décembre 2020 sous la plume de Nicolas Rauline : « Les États-Unis empêtrés dans l’une des plus graves cyberattaques jamais vues ».
Derrière SolarWinds, l’ombre « plus que probable » de la Russie.
L’attaque est découverte par le prestataire de service FireEye début décembre 2020 (le 8).
Le 17 décembre, première prise de parole du porte-parole du National Security Council (principal forum où le président des États-Unis examine les questions de sécurité nationale et de politique étrangère avec ses conseillers principaux et les membres...
Hôpital universitaire de Düsseldorf
Roland Weihrauch / DPA / DPA Picture-Alliance via AFP
En septembre 2020, l’hôpital de Düsseldorf a été victime d’une attaque par rançongiciel. Trente serveurs du système d’information de l’hôpital deviennent inaccessibles. Toujours le même mode opératoire, l’exploitation d’une faille zero day.
L’activité des soignants est paralysée et la vie de plusieurs patients est mise en péril. Les services s’organisent, on reporte ce qui peut l’être, on tente tant bien que mal de pallier l’arrêt du système d’information. Solidarité oblige, des patients en urgence vitale sont transportés vers d’autres unités de soins des hôpitaux alentour.
Chaos organisationnel, gestion de la panique, inquiétude généralisée, le but des malfaiteurs semble atteint. Quoique ?
En effet et c’est un comble, on s’aperçoit que l’attaque dont est victime l’hôpital visait en fait l’Université voisine, ce que les autorités allemandes ont réussi à découvrir quand ils sont entrés en contact avec les hackers. Il s’agit d’une lamentable erreur de cible.
Les hackers s’apercevant de leur erreur communiquent les clefs de déchiffrement...
Les établissements de santé, cibles pour leurs données
Depuis cette cyberattaque de l’hôpital universitaire de Düsseldorf, de nombreux établissements de santé ont été attaqués dont :
-
l’hôpital de Rouen en novembre 2019 (demande de rançon par un groupe de pirates qui parlait le russe ; fonctionnement en mode dégradé pendant plusieurs jours),
-
l’hôpital de Dax en février 2021,
-
Villefranche-sur-Saône également en février 2021 (attaque par RYUK, rançongiciel qui n’en était pas à son coup d’essai et dont on estime qu’il a rapporté plus de 61 millions de dollars entre 2018 et 2019),
-
l’AP-HP en septembre 2021 (l’exploitation par les pirates d’une faille de sécurité du système de partage des fichiers a permis de dérober plus d’un million de données patients, que l’on a retrouvées en vente sur le darkweb. Plusieurs centaines de milliers de courriers ont dû être adressés aux patients concernés pour gérer la crise),
-
l’hôpital de Corbeil-Essonnes (cyberattaque survenue en août 2022, initiée par le groupe cybercriminel russophone Lockbit, du nom du rançongiciel qu’ils exploitent depuis 2019. Les perturbations générées...
Maersk
Maersk est un transporteur-logisticien danois de dimension mondiale spécialisé dans le transport maritime (50 milliards de dollars de CA, 110 000 salariés).
Ses opérations mondiales ont été frappées par une cyberattaque massive via le rançongiciel NotPetya en 2017.
Les opérations de Maersk ont été impactées dans plus de cinquante pays, perturbant de manière très sensible le trafic des conteneurs.
Au-delà des opérations de Maersk, ce sont les ports de Rotterdam, de New York, de Jawaharlal Nehru en Inde… qui ont vu leurs activités perturbées, n’étant plus capables d’identifier ce qui entrait et sortait de leurs installations.
Selon les sources et les estimations, Maersk aurait perdu 20 % de son trafic sans le pouvoir le remplacer. Pendant les dix premiers jours de la crise, leurs équipes ont été capables de gérer au stylo et au papier les autres 80 % du trafic.
Dans le même temps et au prix d’efforts surhumains, les équipes informatiques de Maersk réinstallaient les composants du système d’information de l’entreprise : 45 000 PC, 4 000 serveurs, 2 500 applications (source ZDnet), ce qui relève d’une colossale prouesse.
L’estimation financière du coût de cette...
Les collectivités
Un rapport d’information n° 283 (2021-2022) a été déposé par deux sénateurs le 9 décembre 2021 (M. Serge BABARY, Sénateur d’Indre et Loire, Membre de la commission des affaires économiques et Président de la délégation sénatoriale aux entreprises et Mme Françoise GATEL, Sénatrice d’Ille-et-Vilaine, Membre de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d’administration générale et Président de la délégation sénatoriale aux collectivités territoriales et à la décentralisation), rapport qui reprend les principales conclusions d’une table ronde du 28 octobre 2021 sur le thème des « Collectivités territoriales face au défi de la cybersécurité ».
Dans ses trois premiers titres, ce rapport fait le point sur, je cite :
-
« Une prise de conscience tardive et insuffisante des cybermenaces
-
Un dispositif de cyberprotection publique développé mais peu accessible aux petites collectivités territoriales
-
Un bouclier efficace pour les cyberattaques concernant les entités de grande taille. »
Faut-il aller plus loin pour comprendre le défi...
Toutes les cyberattaques ne réussissent pas, l’affaire EncroChat
À force de parler des attaques qui ont fait mouche, on en oublie les progrès et les efforts incessants des forces de l’ordre qui de plus en plus souvent réalisent des coups de filet pour certains magistraux, comme pour l’affaire EncroChat.
À l’origine, EncroChat est une société de télécoms néerlandaise. Elle fournit des téléphones dont les communications sont chiffrées d’un téléphone EncroChat à un autre, dont les communications ne passent pas par le réseau classique mais par des serveurs, utilisation de mots de passe longs ce qui les rend plus difficiles à casser. La grande promesse d’EncroChat, c’est l’anonymat, une aubaine pour les criminels !
Pas de réseau de distribution, des téléphones aux fonctionnalités ultra basiques, des facultés de faire disparaître les messages en cas de danger… bref un outil parfait pour les réseaux criminels du monde entier qui ont fini par faire une confiance aveugle à ce réseau de communication et en ont oublié les précautions élémentaires liées à leurs occupations clandestines.
C’est à partir de 2017 que la Gendarmerie s’est intéressée à ces téléphones....
ANOM, un presque « copier/coller » d’EncroChat
ANOM ressemble par son envergure et ses résultats à l’opération EncroChat. Mais elle va plus loin dans sa mise en œuvre et à la fois dans sa stratégie d’infiltration.
ANOM a d’ailleurs largement bénéficié du RETEX d’EncroChat ainsi que d’une autre opération semblable menée par les services français, belges et néerlandais qui ont réussi à bloquer les communications cryptées de réseaux criminels via l’outil Sky ECC (mars 2021).
Coordonnée par Europol, le nom de code de l’opération, c’est OTF Greenlight/Trojan Shield (OTF : Operationnal Task Force).
Pas de services français officiellement recensés dans cette opération qui a quand même réussi à faire travailler ensemble, le FBI, la DEA, Europol ainsi que les services au total de 16 pays : Australie, Autriche, Canada, Danemark, Estonie, Finlande, Allemagne, Hongrie, Lituanie, Nouvelle-Zélande, Pays-Bas, Norvège, Suède, Royaume-Uni.
Ici, le subterfuge n’a pas été de s’introduire dans la messagerie du système de communication des criminels, mais d’agir en amont en créant la société (ANOM) qui leur a fourni les systèmes de communication...
Goldfish Alpha
En 2020, Interpol a coordonné une opération d’envergure, d’un tout autre genre contre le cryptominage pirate. L’opération a duré cinq mois.
Le minage est une activité essentielle dans la circulation des cryptomonnaies : il permet d’une part de valider les transactions dans leurs blockchains et d’autre part de générer des cryptomonnaies. Quel intérêt pour le mineur ? Il reçoit une rémunération au passage, ce qui rend l’opération financièrement intéressante.
À l’échelle mondiale, le minage requiert des puissances de calcul très importantes, et donc de l’énergie, beaucoup d’énergie. Raison pour laquelle comme dans toute bonne économie qui se respecte, on cherche à abaisser les coûts et à maximiser les recettes.
C’est ainsi que pour les criminels visés par cette opération, l’astuce a consisté à utiliser une faille identifiée dans des routeurs fournis par l’entreprise Mikro Tik pour s’y introduire et pirater leur puissance de calcul.
Très rapidement dit, un routeur permet le transit de paquets de data d’un réseau vers un autre. C’est un outil indispensable dans les échanges d’informations.
20 000 routeurs auraient ainsi été...
Le conflit ukrainien
Au démarrage de ce conflit en février 2022, tous les observateurs pensaient que l’arme cyber figurerait au tout premier plan des hostilités et que de cette sorte, on découvrirait une nouvelle forme de conflictualité. Nous avons été aidés dans ce raisonnement par l’asymétrie théorique du conflit, entre des forces et un pouvoir russes qui pensaient en finir en quelques jours, et une défense ukrainienne sur laquelle personne n’aurait parié. Et en termes cyber, on donnait peu cher de l’Ukraine vu les capacités reconnues aux Russes en matière de cyberguerre (cyberwarfare). Ce scénario ne s’est pas déroulé exactement comme prévu.
Pour mieux comprendre le dessous des cartes, deux analyses de militaires au cœur de la cyberdéfense française.
Le Colonel Bertand Boyer, chef de la cellule cyber de l’armée de terre, a déclaré le 22 avril 2022 : « au-delà de l’horreur et de l’indignation, cette guerre en Ukraine, me plonge dans une grande perplexité. À l’exception de quelques armes de pointe - drônes, missiles hypersoniques - les technologies n’affectent pas profondément la forme du conflit. Quand l’invasion a commencé, j’avais les yeux rivés sur le cyber, les attaques de sites internet, les virus, les frappes contre les infrastructures. J’ai attendu que les Russes fassent tomber l’Internet ukrainien, qu’ils mènent une véritable cyberguerre. Il y a eu des choses, bien sûr, mais pas tant que ça. »
Si cyberguerre il y a, elle a donc pris une forme inattendue tant du côté offensif russe que défensif ukrainien.
De son côté, le Général de Division Aymeric Bonnemaison, chef de la cyberdéfense a été auditionné à huis clos le 7 décembre 2022 par la Commission de la défense nationale et des forces armées de l’Assemblée nationale. Les leçons qu’il tire de l’analyse du conflit sont les suivantes. D’une manière plus générale, son analyse nous éclaire également sur l’utilisation et les capacités...